랜섬웨어 감염 및 복구 후기, 과정 (시놀로지 NAS)
보안프로그램끄고 exe 문서 눌렀다가 랜섬웨어 걸림 최우선으로 랜선뽑고 확인하니 C드라이브만 감염. 모든 파일은 암호화되어 사용불능 랜섬웨어는 문서 암호해독 수행이 완료되면 피해자사용자에게 공격받았다는 사실을 인지시키기 위해 암호화된 파일들을 바탕화면으로 이동시키거나 피해자사용자에게 랜섬웨어 감염 내용과 문서 복구를 위한 몸값 지불 요청을 랜섬노트를 통해 알리는 처리를 수행합니다.
랜섬웨어 작동 방법
랜섬웨어 운영자가 이용하는 여러 가지 기술이 있습니다. 디스크코더 랜섬웨어는 모두 디스크를 암호화하여 사용자가 경영관리 체제에 액세스 할 수 없도록 합니다. 스크린 락커는 기기 화면에 대한 액세스를 차단합니다. 크립토 랜섬웨어는 피해자의 디스크에 저장된 데이터를 암호화합니다. PIN 락커는 Android 기기를 대상으로 하고 액세스 코드를 변경하여 사용자를 잠금합니다.
랜섬웨어 유형
가장 자주보이는 랜섬웨어의 형태는 암호해독 공격입니다. 사용자 컴퓨터의 모든 파일이 바이러스에 의해 암호화되며 대가를 지불하지 않으면 해제되지 않습니다. 이는 랜섬웨어의 고유한 패턴입니다. 많은 사람은 모든 데이터를 잃는 것보다는 대가를 지불하는 쪽을 선택합니다. 또 다른 랜섬웨어의 유형은 삭제 위협입니다. 이 경우에는 특정일까지 대가를 지불하지 않으면 데이터가 삭제된다고 위협합니다. 그 다음으로 자주보이는 유형은 강탈 혹은 신상 오픈 공격입니다.
내일배움신용카드 교육원 종류
모두 이해하는 것처럼 국민내일배움카드는 구직자 혹은 새로운 직업을 찾고자 하는 근로자에게 300만 원 500만 원의 교육비를 지원해주는 제도입니다. 공무원이나 자영업자연 소득 소득 1억 5천 이상를 재외하면 민중 대부분이 신청할 수 있죠. 내일배움카드가 사용가능했던 곳은 아래와 같습니다. 1. 직업능력발전 훈련시설단체, 2. 고등학교법에 의한 학교, 3. 평생 교육시설, 4. 학원법에 의한 학원, 5. 경영자 설치 시설, 6. 그 외 개별법에 의한 훈련시설1. 직업능력발전 훈련시설
고용노동부 인가 혹은 지정을 받은 시설이 여기에 해당합니다.
직업능력발전 훈련시설에는 공공 직업체험 시설과 일반 직업체험 전문학교가 있습니다.
모바일에는 랜섬웨어가 없습니다.?
컴퓨터에만 랜섬웨어가 있다고 고민하는 사람들이 있었으나 모바일에선 랜섬웨어가 없다고 생각하면 큰 오산입니다. 현재 본사 유튜브 계정에서는 삭제된 영상이 있었으나 사용된 기기는 왼쪽부터 모토 360 1세대와 갤럭시 S III OS 모델 불명 GTi930x입니다. 위 영상은 모바일에서는 랜섬웨어가 어떻게 작동하는 지를 보여주는 영상입니다. 영상을 보면, 스마트폰뿐만 아니라 연동되어 있는 스마트워치에까지 감염이 됩니다.
그러나 전자기기를 공격하는 것보다는 피해가 적다. 그럼에도 안심하면 안 됩니다. 사실상 제작이 이루어지고 있는 부분으로, 클라우드 스토리지에 자동으로 업로드되는 사진과 동영상들의 확장자는 그대로 두고 내부 정보만 암호화하면 클라우드 스토리지에 있는 정보까지 덮어씌울 수도 있습니다.
공격 과정에서 사용되는 악성코드들
공격자는 다채로운 악성코드들을 감염 시스템에 설치합니다. 설치되는 도구들은 스캐너 및 계정 정보량 탈취 기능을 담당하는 도구들이며 거의 모든 NirSoft 사에서 제작한 것이 특징입니다. 이를 통해 감염 시스템 외에 해당 시스템이 포함된 네트워크도 공격 대상이 될 수 있다는 점을 추정할 수 있어요. 파일명 경로명종류 Table 1. 공격에 사용된 도구들 공격자는 RDP로 시스템을 장악한 이후 위의 도구들을 이용해서 네트워크를 스캐닝하여 감염 시스템이 특수한 네트워크에 포함되었는지를 확인할 것입니다.
만약 특수한 네트워크에 포함된 경우에는 해당 네트워크에 존재하는 다른 시스템들도 암호화하기 위해 내부 정찰 및 계정 정보량 수집 설명을 진행할 수 있어요. 미미카츠는 이렇게 과정에서 사용될 수 있으며 수집된 계정 정보를 이용해서 네트워크 내의 다른 시스템들에 측면 이동을 진행할 수 있어요.
감염 처지 입증 및 복구
최최우선으로 현재 랜섬웨어 프로세스를 입증 후 종료를 시켜야했으나 어떤 랜섬웨어인지 확인을 급격한 할 수 없으므로 최우선으로 감염이 의심되는 PC를 재부팅하였습니다. 여기서 다행인 부분은, 이미 파일이 모두 감염된 이후에 확인을 했다면 어떤 PC가 감염되었는지 찾기가 어려울 수도 있었으나 이상 증상이 보인 직후에 바로 알려주었기 때문에 감염 PC를 체계적인 상태로 조치가 가능했습니다. 원래대로라면 랜섬웨어가 의심되는 순간 랜선을 제거하고 와이파이 연결도 해제를 하는 것이 가장 좋았지만 문서 서버의 경우 버저닝을 해둔 것이 어느정도 안심이 되었고 재부팅 이후 로컬 파일들도 더 이상 진행이 안되는 것으로 보였기 때문에 랜섬웨어의 실행 파일부터 찾기로 하였습니다.
그리고 바탕화면에 를 알 수 없는 설치 파일을 찾을 수 있었습니다.
랜섬웨어 연관 유의점
악성 코드 백신 소프트웨어를 설치하고 직원을 대상으로 학습법 혹은 인지 발전 소프트웨어를 실시합니다. 감염 시 기기를 삭제하고 재포맷할 수 있도록 늘 데이터를 백업합니다.
매번 묻는 질문
랜섬웨어 작동 방법
랜섬웨어 운영자가 이용하는 여러 가지 기술이 있습니다. 구체적인 내용은 본문을 참고하시기 바랍니다.
랜섬웨어 유형
가장 자주보이는 랜섬웨어의 형태는 암호해독 공격입니다. 더 알고싶으시면 본문을 클릭해주세요.
내일배움신용카드 교육원 종류
모두 이해하는 것처럼 국민내일배움카드는 구직자 혹은 새로운 직업을 찾고자 하는 근로자에게 300만 원 500만 원의 교육비를 지원해주는 제도입니다. 구체적인 내용은 본문을 참고 해주시기 바랍니다.